GitHub遭攻击：未支付比特币赎金，用户隐私代码被曝光

Pankaj PatelonUnsplash 摄，本文来自公众号：量子比特（ID：QbitAI），作者：小茶、甘明

程序员基地遭到黑客攻击！

五一假期的最后一天，一些程序员查看了自己托管在GitHub上的代码，发现自己的源代码和repo已经不见了，取而代之的是一封黑客勒索信留下的信！

信中说他们已下载源代码并将其存储在自己的服务器上。

受害者必须在10天内向特定账户支付0.1比特币（约合人民币3800元），否则将泄露代码或以其他方式使用。

要找回丢失的代码并避免代码泄漏：将 0.1 比特币 (BTC) 发送到我们的比特币地址 1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA 并通过电子邮件向我们发送您的 git 登录信息和付款证明。地址是 admin[at]gitsbackup[dot]com。

如果您不确定我们是否拥有您的数据，请与我们联系比特币官网会封禁账户吗，我们将向您发送证明。您的代码已下载并备份到我们的服务器上。

如果我们在接下来的 10 天内未收到您的付款，我们将披露您的代码或以其他方式使用它们。

从这个威胁来看，受到攻击的是 GitHub 上的一个私有仓库。此外，不仅 GitHub，其他代码托管网站 GitLab 和 Bitbucket 也受到了攻击。

突然袭击

根据 GitHub 上的搜索数据，共有 373 名用户受到攻击。根据 GitLab 公布的数据，黑客至少可以访问所有 131 个用户和 163 个存储库。

这些受损存储库的代码和提交都被一个名为“gitbackup”的帐户删除。

在主要社交媒体上，一些受害者将攻击归咎于 SourceTree，这是 Atlassian 开发的 Git GUI 应用程序，认为黑客利用了其中的漏洞。

但攻击范围跨越多个平台，The Register 报告称，该攻击可能针对无意中安全性较差的存储库，而不是特定漏洞。

据ZdNet报道，黑客可能会在网上扫描Git配置，然后提取登录凭据登录Git仓库，完成这波操作。

截至发稿时，尚未向攻击者的比特币账户支付赎金。相反，这个比特币地址已经被报道了不少。

根据比特币滥用数据库，已有31人举报了这个比特币地址，说明对方是黑客，想要删除该地址。

ZdNet 记者 Catalin Cimpanu 表示，攻击现已停止，没有新账户受到攻击。

如果受到攻击不要惊慌

根据 GitLab 的官方说法比特币官网会封禁账户吗，这次 hack 最大的问题是用户：

“我们有充分的证据表明，受影响账号的密码在相关代码库的部署中以明文形式存储。”

因此提高意识是保护代码的最佳方式，GitLab 推荐以下方法来防止密码被黑客窃取：

1、使用强密码，降低被黑客破解的风险；

2、使用密码管理工具来存储密码而不是纯文本；

3、开启双重身份验证并使用 SSH 密钥提升。

如果你够倒霉，不要急于支付赎金，因为即使付钱也不能保证代码不会被黑客泄露。

至于被删除的代码，有早期受害者在 StackExchange 论坛上指出，代码还在，可以恢复，只是 HEAD 被黑客修改了。

他还给出了一系列的补救措施，被GitLab官方推荐。

输入以下代码：

gitcheckoutorigin/mastergitreflog#takethelastcommitofyoursgitreset[SHA]

您可以查看黑客的提交日志并修复 origin/master。但问题还没有完全解决。如果输入git status，还是会显示：

HEAD 与原点分离/主人

如果你已经在本地备份了代码，那就好办了，直接复制本地代码强制上推：

gitpushoriginHEAD:master--force

如果您没有本地备份，您仍然可以从远程存储库克隆，使用 git reflog 或 git fsck 查找最后一次提交并更改 HEAD。

接下来唯一需要担心的可能就是黑客是否会泄露你的私人代码。

代码公开的痛苦

关于代码公开，国内一些公司也有阵痛。

例如，大疆前员工大疆将包含公司商业机密的代码上传到GitHub的公共存储库，导致源代码泄露。

根据这些源码，攻击者可以访问SSL证书的私钥，访问敏感的客户信息，如用户信息、飞行日志等。

经评估，此次泄露代码已给大疆造成116.4万经济损失。

前不久，这个代码泄露也被判刑了：

6 个月监禁和 20 万罚款。

近日，B站的源码也已发布到GitHub。虽然很快被封杀，B站也已经报警，但不少网友克隆了代码库，埋下了隐患。还头疼。

如果黑客这次把他们得到的所有代码都放出来了，对于这些小团队中的一些人来说，这可能是一条死胡同。